Con provvedimento n. 119 del 23 maggio 2019, il Garante per la protezione dei dati personali ha autorizzato la CONSOB a sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e quelle al di fuori del SEE.
Il provvedimento rappresenta il primo caso di autorizzazione al trasferimento dei dati ex art. 46, comma 3°, lett. b) del GDPR. Il Regolamento prevede infatti che, in mancanza di una decisione di adeguatezza della Commissione europea, anche gli accordi amministrativi tra autorità o organismi pubblici possono costituire garanzie adeguate per il trasferimento dei dati, purché comprendano diritti effettivi e tutelabili e abbiano l’autorizzazione dell’Autorità garante nazionale.
In questo caso, obiettivo dell’intesa è il trasferimento di informazioni nell’ambito dell’attività di cooperazione internazionale, al fine di garantire un’assistenza reciproca per la repressione di comportamenti illeciti sui mercati.
L’accordo è stato definito dall’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e dall’Organizzazione internazionale delle commissioni sui valori mobiliari (IOSCO).
Il Garante ha autorizzato la CONSOB alla sottoscrizione del progetto perché ha ritenuto che le garanzie ivi contemplate assicurino un livello adeguato di protezione dei dati personali.
Nell’intesa si prevedono, infatti, il rispetto dei principi di trasparenza, proporzionalità, qualità dei dati, adeguate misure di sicurezza e garanzie per i diritti degli interessati. In particolare, l’interessato può ottenere conferma dell’eventuale trasferimento dei suoi dati a un’autorità di vigilanza finanziaria al di fuori dello Spazio economico europeo; su richiesta, avrà accesso ai suoi dati personali e può chiedere direttamente all’autorità di vigilanza finanziaria interessata o all’autorità di vigilanza finanziaria al di fuori del SEE di rettificare, cancellare, limitare o bloccare i suoi dati. Qualsiasi restrizione a tali diritti deve essere prevista per legge ed è consentita solo nella misura e per il periodo in cui sia necessaria per tutelare la riservatezza o per conseguire obiettivi di interesse pubblico generale.
Sono previste anche specifiche cautele per i trasferimenti successivi di dati verso un soggetto che non sia un’autorità partecipante all’accordo o un Paese privo della decisione di adeguatezza della Commissione europea. In particolare, tali trasferimenti possono aver luogo unicamente con il previo consenso scritto dell’autorità trasferente e purché il terzo fornisca garanzie analoghe a quelle previste dall’accordo.
Infine, il Garante per la protezione dei dati personali ha sottoposto la validità dell’intesa ad alcune condizioni. Le parti dovranno rispettare pienamente tutte le clausole e la CONSOB dovrà informare il Garante di qualsiasi sospensione di trasferimenti di dati e di qualsiasi revisione o sospensione della partecipazione all’intesa. Inoltre, in ossequio al principio di accountability, la CONSOB dovrà conservare la documentazione relativa all’applicazione dell’accordo (ad esempio, numero delle richieste e lamentate violazioni presentate dagli interessati a livello europeo) e, per i primi due anni, trasmettere una relazioneall’Autorità.
Spetterà ora allo stesso Garante sorvegliare sull’applicazione pratica dell’accordo, verificando il rispetto delle garanzie ivi previste, le cui violazioni comporteranno la sospensione dei flussi di dati effettuati dalla CONSOB.